Control y acceso remoto: administración remota SSH y control de acceso de envoltorios TCP

Others 2021-04-01 22:20:05 views: null

Control y acceso remoto: administración remota SSH y control de acceso de envoltorios TCP

1. Gestión remota SSH

SSH (Secure Shell) es un protocolo de canal seguro, que se utiliza principalmente para implementar funciones de inicio de sesión remoto y copia remota de una interfaz de caracteres.
El protocolo SSH cifra la transmisión de datos entre las partes que se comunican, incluida la contraseña de usuario ingresada cuando el usuario inicia sesión. Por lo tanto, el protocolo SSH tiene buena seguridad.

                     网络

Cliente SSH <----------------------------------------->
Datos del servidor SSH Encriptados durante transmisión, puede evitar la fuga de información.
La transmisión de datos está comprimida, lo que puede aumentar la velocidad de transmisión

Cliente SSH: Putty, Xshell, CRT
Servidor SSH: OpenSSH

OpenSSH es un proyecto de software de código abierto que implementa el protocolo SSH y es adecuado para varios sistemas operativos UNIX y Linux.
El sistema CentOS 7 ha instalado paquetes de software relacionados con openssh de forma predeterminada, y el servicio sshd se ha agregado como inicio.
Ejecute el comando "systemctl start sshd" para iniciar el servicio sshd
. El número de puerto predeterminado utilizado por el
servicio sshd es 22. El archivo de configuración predeterminado para el servicio sshd es / etc / ssh / sshd_config

Tanto ssh_config como sshd_config son archivos de configuración del servidor ssh, la diferencia entre los dos es que el primero es un archivo de configuración para el cliente y el segundo es un archivo de configuración para el servidor.

2. Configure el servidor OpenSSH

① Opciones de configuración de archivos de configuración de uso común

Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí

②AllowUsers y DenyUsers

Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí

FTP seguro ③sftp

Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí

3. El servicio sshd admite dos métodos de autenticación

1. Verificación de contraseña

Verifique el nombre de inicio de sesión y la contraseña del usuario del sistema local en el servidor. Simple, pero puede ser de fuerza bruta

2. Verificación del par de claves secretas

Se requiere la información clave coincidente para pasar la verificación. Por lo general, primero se crean en el cliente un par de archivos de clave (clave pública, clave privada) y luego el archivo de clave pública se coloca en la ubicación especificada en el servidor. Al iniciar sesión de forma remota, el sistema utilizará la clave pública y la clave privada para verificar la asociación de cifrado / descifrado. Puede mejorar la seguridad y puede evitar el inicio de sesión interactivo.
Cuando tanto la verificación de contraseña como la verificación de par de claves están habilitadas, el servidor utilizará preferentemente la verificación de par de claves. El método de verificación se puede configurar de acuerdo con la situación real.
Inserte la descripción de la imagen aquí

Cree un par de claves en el cliente

Inserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí

Control de acceso a Four. TCP Wrappers

TCP Wrappers "envuelve" el programa de servicio TCP y monitorea el puerto del programa de servicio TCP en su nombre, agregando un proceso de detección de seguridad. La solicitud de conexión externa debe pasar primero esta capa de detección de seguridad y luego puede acceder al programa de servicio real después de obtener el permiso.

En la mayoría de las distribuciones de Linux, TCP Wrappers es una función que se proporciona de forma predeterminada.

Política de acceso de TCP Wrappers

Los objetos de protección del mecanismo TCP Wrappers son varios programas de servicios de red y el control de acceso se realiza en la dirección del cliente del servicio de acceso.
Los dos archivos de políticas correspondientes son /etc/hosts.allow y /etc/hosts.deny, que se utilizan para establecer políticas de permiso y denegación respectivamente.

* Ver el comando libwrap.so. Link library-ldd del programa

Es necesario escribir la ruta absoluta del archivo. Cuando
no tenemos muy claro la ruta absoluta del archivo, podemos usar el comando which para consultar
o usar dos comandos juntos: ldd $ (which sshd)

Los principios básicos del mecanismo TCP Wrappers
① primero verifique el archivo /etc/hosts.allow, si se encuentra una política coincidente, se permite el acceso

② De lo contrario, continúe verificando el archivo /etc/hosts.deny, si se encuentra una política coincidente, se deniega el acceso

③Si los dos archivos anteriores no coinciden con la estrategia, se permite el acceso.

④Permitir todo, denegar individualmente, simplemente agregar la política de denegación correspondiente en el archivo /etc/hosts.deny

⑤Permitir individual, denegar todo. Además de agregar una política de permiso en /etc/hosts.allow, también debe establecer una política de rechazo de "TODOS: TODOS" en el archivo /etc/hosts.deny

Supongo que te gusta

Origin blog.csdn.net/weixin_53496478/article/details/114290770
Recomendado
Clasificación
Diario
Más
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)

Code World

© 2018 codetd.com